и еще пара ссылок с цитатами, которые прислали читатели канала, пока меня не было (спасибо всем, кто присылал интересные ссылки):

- В Nextcloud тоже привинтили проверку новых паролей по haveibeenpwned https://newsletter.nextcloud.com//lt.php?tid=Blhztn7BttW00dWYeMRApeM5qkL8F8Dkn5UJSkvEiKfJzdga3vZwbIEV/4zhccQh

- Возможно будет интересно про : Guest Accounts Gain Full Access on Chrome RDP https://research.checkpoint.com/guest-accounts-gain-full-access-chrome-rdp

- Добрый день, возможно вам будет интересно для канала https://www.facebook.com/mbakirov/posts/10216269677922922

- Возможно будет интересно. Это скорее шаг к безопасности. https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579 . Уже работает выдача бесплатных wildcard сертификатов.

Добрый день. «ВС РФ отклонил иск Telegram
к ФСБ, признал законным требование предоставить ключи для расшифровки переписки пользователей». Ну что ж, если надо, пусть читают содержимое канала, мне не жалко, товарищ майор! А вот с частными переписками лучше осторожней.

«Роскомнадзор обратится в суд с требованием о блокировке Телеграма, если мессенджер не предоставит ключи для декодирования сообщений по истечению 15 дней.»

скандал вокруг Facebook и Cambridge Analytica продолжает набирать обороты, и в том числе потому, что Facebook очень невнятно на него реагирует, жуя сопли. Как по мне, в этом скандале предстоит разбираться еще очень долго, потому что люди сами добровольно отдают информацию в ФБ, а уж ФБ с ней делает то, что лучше всего соответствует его бизнес-модели. Как кто-то правильно заметил, “если вас шокирует то, что делала Cambridge Analytica с пользовательскими данными, представьте себе, что может делать с ними Facebook”. Короче, все плохо.

Но я о другом хотел сказать. Проблема с данными, которые получила Cambridge Analytica, больше заключается в том, что на “тестирование” подписалось 270 тыс человек, а в результате было получено 50 миллионов пользовательских записей, потому что там выгребли не только персональные данные этих 270 тыс человек, но и всех их “френдов”. Так что проблема похожа на то, что было с GetContact — вроде бы один человек заливает _свою_ адресную книгу, но на самом деле сливает персональную информацию на кучу других людей. Поэтому полезный совет — в ФБ можно отключить то, какую информацию о вас могут отдавать ваши друзья в приложения, на которые они подписываются. Надо зайти все в те же настройки -> apps, как я писал вчера (https://t.me/alexmakus/1843), но проскроллить экран чуть ниже, в раздел Apps Others Use, и убедиться, что чекбоксы там отключены. Ну и, конечно же, главное для безопасносте вашей информации — НИКАКОГО ИНТЕРНЕТА!

Кто-то из подписчиков недавно мне писал о том, «что плохого в том, чтобы хранить пароли на бумажке в сейфе - это же безопасно». Так-то безопасно, конечно, если не вынимать эту бумажку из сейфа никогда. А вот отличился сотрудник Белого Дома, который на автобусной остановке потерял бумажку с паролем от почты. Причём там красота сразу на нескольких уровнях
- пароль действительно сработал
- пароль к сервису безопасной шифрованной почты
- на аккаунте отключена двухфакторая авторизация

Фейспалмами можно лицо разбить
https://protonmail.com/blog/white-house-encryption-protonmail/

Забавная штука, присланная читателем канала - которая как бы не совсем информация опасносте, таких мест в интернете миллионы, но все равно интересно:

Только что обнаружил на официальном сайте Минздрава интереснейшую вещь: зарегистрированы тысячи пользователей, содержащие в своем имени, либо в описании высокочастотные запросы. И ссылки ведут на какие-то сомнительные ресурсы. Так называемое черное SEO по российски. Примеры:
https://www.rosminzdrav.ru/users/72641
https://www.rosminzdrav.ru/users/84602
https://www.rosminzdrav.ru/users/956840

Чего там только нету. Даже Орифлейм рекламируют, какие-то кроссовки, лечение алкоголизма, суставов и прочее и прочее. Я, конечно, всё понимаю, жизнь сейчас непростая, но БЛЖАД, на минуточку, ЭТО ГОС. САЙТ!!!1!11 И никто с этим ничего не делает.

Тысячи их!
https://www.rosminzdrav.ru/users

ДОПОЛНЕНИЕ ОТ ДРУГОГО ЧИТАТЕЛЯ :)

Привет. Хотел немного подправить по поводу последнего поста. Это не совсем "черное seo". Просто гос. сайтом пользуются как трастовым сайтом.

Суть достаточно проста. Раньше ставили ссылки где непопадя, и поисковик в себе просто наращивал массу (чем больше ссылок, тем выше позиция), то теперь ценятся ссылки на тех сайтах, которым поисковик доверяет (тиц и pr в терминологии)

Соответственно на различных сайтах/форумах и т.п. сервисам, где для поисковика открыты профили юзеров сеошники регаются и оставляют инфу. Что примечательно, поисковик может за ссылку воспринимать и не гиперлинк.

:)
https://meduza.io/shapito/2018/03/21/shuby-kriptovalyuty-i-zagovory-ot-alkogolizma-na-sayte-minzdrava-nashli-reklamu-ot-polzovateley

В России запущена процедура блокировки мессенджера Telegram — 20 марта Роскомнадзор официально уведомил сервис о несоблюдении закона. Поводом для этого стал отказ Telegram передавать ФСБ ключи шифрования от переписки пользователей. Теперь, если Telegram не изменит своего решения, РКН сможет обратиться в суд. Сколько займет вся процедура блокировки, неизвестно.

И обнаружили проблему с Siri на айфонах. На iPhone X можно настроить уведомления так, что они показываются свернутыми на лок-скрине, а при сканировании FaceID разворачиваются и видно содержание. Так вот, оказалось, что Siri умеет читать содержимое свернутых уведомлений даже без разблокировки экрана с помощью Face ID (не может читать уведомления Messages, но всех сторонних приложений - с удовольствием). Явный провал в логике
https://9to5mac.com/2018/03/21/siri-privacy-bug-hidden-notifications/

Цукерберг ответил про ситуацию с Facebook, Cambridge Analytica и пользовательские данные https://www.facebook.com/zuck/posts/10104712037900071

Фейсбук практически жертва, во всем виноваты сторонние разработчики, и, конечно, ни слова о том, сколько всякой информации собирает сам Фейсбук.

Эпол чето вообще уже. В логах можно найти пароль от APFS-разделов в plain text (проблема исправлена то ли в 10.13.2, то ли в 10.13.3, но сам факт)
http://www.mac4n6.com/blog/2018/3/21/uh-oh-unified-logs-in-high-sierra-1013-show-plaintext-password-for-apfs-encrypted-external-volumes-via-disk-utilityapp

Статья на Forbes (в последнее время источник достаточно сомнительного контента) о том, как полиция использует пальцы умерших людей для разблокировки iPhone. Формально с юридической точки зрения это законно - умерший человек теряет приватность над своими частями тела (так в статье). Этика - другое дело, конечно. Но меня это заинтересовало с технологической точки зрения. До этого я читал, что Touch ID обладает ёмкостным сенсором (вот то металлическое колечко вокруг), который определяет касание живой материи к нему, но, возможно, это не так, или же сенсор можно обмануть. Статья продолжает и про то, что Face ID можно тоже похожим методом обмануть, подложив фотографии глаз. Другое дело, что токен Touch ID и Face ID периодически протухает, и это позволяет в какой-то мере «подстраховаться», но тема в целом скользкая.
https://www.forbes.com/sites/thomasbrewster/2018/03/22/yes-cops-are-now-opening-iphones-with-dead-peoples-fingerprints/

Наверно, самая интересная ссылка со вчерашнего вечера - это статья о том, что команда специального прокурора Роберта Мюллера, который расследует влияние внешних сил на выборы президента США в 2016 году, выяснила личность таинственного хакера Guccifer 2.0, который сливал массу переписки конкурентов кандидата Трампа в сеть. Мы сейчас не будем вдаваться особенно в политику, просто интересный момент о том, как же этого хакера вычислили. Якобы он всегда ходил в интернет через VPN, качественно маскируя своё происхождение, но один раз (один раз!!!) забыл включить VPN и засветил свой реальный IP адрес в логах твиттера (которые ФБР получила от компании). IP адрес привёл на улицу Гризодубовой в Москве, где расположено здание главного управления генштаба РФ (бывшее? ГРУ). Вроде как комиссия Мюллера в итоге смогла вычислить даже имя конкретного человека, который выступал под маской этого хакера, но оно пока не разглашается. Верить или не верить во всемогущих русских хакеров - на ваше усмотрение.

Большая и интересная статья по этому поводу по ссылке https://www.thedailybeast.com/exclusive-lone-dnc-hacker-guccifer-20-slipped-up-and-revealed-he-was-a-russian-intelligence-officer

Несколько читателей прислали ссылку на Тжурнал, где пишут про приключения в эпоху GetContact (софтина, о которой я писал много несколько недель назад)

https://t.me/Group_IB/504

И говоря о данных Фейсбука. Помните, я несколько дней наза писал о том, что можно скачать из ФБ архив своих данных, и узнать, что ФБ знает о вас? (https://t.me/alexmakus/1835). Так вот, тут один человек скачал и изучил содержимое архива (я тоже скачал, но не добрался ещё пока посмотреть, что внутри). А у этого человека внутри оказались история звонков
https://twitter.com/dylanmckaynz/status/976368845635035138
И метаданные звонков
https://twitter.com/dylanmckaynz/status/976371635644018688
исторические данные адресной книги
https://twitter.com/dylanmckaynz/status/976369275324678145
Метаданные сообщений на телефоне
https://twitter.com/dylanmckaynz/status/976369669874491392

Не то, чтобы приложение ФБ прям «украло» эти данные - это вопрос прав доступа на Андроиде (да, у автора сообщений смартфон на Андроид). Подозреваю, что у пользователей iOS ФБ собирает всё-таки меньше информации с телефона, но пользователям Андроид от этого не легче, конечно.